RFID

Bienvenidos al mundo de las inseguras tarjetas de crédito RFID. Por supuesto no son nada nuevo, ya hemos hablado antes de crackeo de tarjetas de crédito RFID, la novedad ahora, que muestran en BoingBoing, es que el lector con el que se hace cuesta tan sólo 8 euros. Y esto nos llega unos días después de que la ruptura del cifrado de numerosas tarjetas RFID (incluida la Oyster Card londinense) recibiera la atención de los medios. Unas semanas después de que otro de los frentes de esta tecnología en la opinión pública, el seguimiento de personas, fuera noticia al anunciarse el seguimiento de estudiantes universitarios mediante RFID en EE.UU.

La RFID no es segura, ni siquiera el uso de chips cifrados la convierte en segura. La tecnología es cada vez más barata (antes era un lector casero de 20 dólares, ahora ya cuesta 8).

El abaratamiento de la tecnología ayuda a su extensión, la negligencia de las autoridades al legislar las excepciones a su uso que nos defiendan de abusos abre muchas vías de inseguridad. Cuando la RFID se esgrime como la alternativa al dinero en efectivo (con todas sus consecuencias negativas), las tecnologías inseguras deben ser sustituidas por otras que sean seguras. Cuando la ciudad es un supermercado, ocultar nuestros chips rfid de ojos indeseados es imprescindible.

Cuando la RFID se usa para todo, poder mantenernos fuera de control debe ser un derecho. En estos momentos, una ley sobre RFID que defienda nuestra privacidad hace falta. Mucha falta. Ahora cualquier aprendiz de lammer que tenga 8 euros y un poco de habilidad puede hacerte un roto. ¿Hasta cuando habrá que esperar?

Algo que próximamente verá la luz y que me llegó a mi buzón gracias a un chivatazo (¡muchas gracias!) de alguien que seguirá en la sombra hasta nueva orden :)

Es una ficha que describe las condiciones que deben cumplir las interfaces RFID. En concreto, una resolución de la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la Información por la que se publican los requisitos técnicos de la interfaz radioeléctrica reglamentada IR-96 para los dispositivos de identificación por radiofrecuencia (RFID) en la banda de 865-868 MHz. En virtud de esta resolución (aún no aprobada) estos chips podrán tener una potencia de hasta 2W; aunque a primera vista pueda parecer muy poco (comparada con algunas cosas), puede considerarse una potencia considerable si tenemos en cuenta que es emisión de radio frecuencias (baja energía) y que para este rango de frecuencias hay detectores muy buenos (sensibles) y baratos.

Está pendiente de aprobación la resolución sobre los interfaces RFID, que se aprobarán en España dentro de poco. Y aunque no habla de privacidad, la ficha es muy interesante porque habla sobre el origen, las frecuencias, potencias y demás parámetros de estos chips, que determinarán algunos aspectos de su peligrosidad. El registro del sistema en todo momento, tal y como sucede en los transportes regulados mediante RFID (Oyster, Navigo, TarjetaBus de Málaga), no puede evitarse y constituye en sí mismo un problema de privacidad.

Claro, los problemas de privacidad no son puramente técnicos, sino legales. Y es mediante leyes que se deben solucionar.

*** Puedes leer la resolución [pdf, 90kb]

Ya no es que las clonen sin llegar a saber qué se está clonando realmente (como se ha conseguido con los pasaportes RFID, recomiendo leer ¿por qué no sirve de nada que un pasaporte rfid esté cifrado?), es que las han conseguido leer. La cosa es que el fabricante cuyas tarjetas se han reventado (ahora entenderéis porqué uso esa palabra) es proveedor de numerosas empresas, entre las que se incluyen (si no he entendido mal) la Oyster card para el transporte público de Londres.

El procedimiento de crackeo, sin embargo, no es tan trivial como la clonación, pues incluye destrozar el transponder, aislar el chip y hacerle micrografías a distintos niveles para posteriormente realizar la deconvolución y superposición de las mismas, lo cual permitirá conocer la estructura tridimensional del microchip y leer su contenido (yo también me he sorprendido de que eso sirviera para algo, ¡pero sirve!), Lo cuentan en TheReg. De hecho, usando ese método han conseguido averiguar qué algoritmo privativo (por cierto) es el utilizado para el cifrado (la empresa lo llama Crypto 1).

El resultado es que, pese a no ser trivial, se pueden crackear. Recordemos que el peligro no viene del 99% de la población que no sabrá cómo hacerlo, puesto que el 99% tampoco tendrá interés por algo así (y aunque no es necesario, es probable que estos dos conjuntos estén muy solapados): el problema es que alguien quiera hacerlo, ya que no se dentendrá hasta conseguirlo. Y ahora ya sabemos que se pueden leer, no sólo clonarlos a ciegas, aunque sea mucho más peligroso lo otro, que no requiere violencia y que pasa mucho más desapercibido pese a que potencialmente sus usos negligentes son mucho más comunes.

Mucha gente no sabe que los pasaportes electrónicos son en realidad pasaportes RFID, cosas de la neolengua. De entre los que saben qué llevan realmente los pasaportes muchos desconfían, con motivos, de este tipo de sistemas. Pero, nuevamente, una parte de esos que alcanzan a ver que hay pastel podrían tener la tentación de relajarse cuando les dicen que los chips RFID de nuestros pasaportes tienen la información cifrada. Es una tentación, no hay que confiarse. El cifrado de un chip RFID es irrelevante cuando hablamos de seguridad, pues no supone ninguna solución.

¿Por qué no sirve de nada que un pasaporte RFID esté cifrado?

Un chip RFID emite siempre la misma señal. Una vez el chip se activa, emite aquella señal que está preparado para emitir. Esta información podrá ser emitida en claro o cifrada.

En cualquier caso, como el chip RFID emite siempre la misma señal es posible clonar esta información y empotrarla en un nuevo chip. Si la información estaba en claro, podrás saber qué has copiado y si estaba cifrada no.

¿Mejora el cifrado la seguridad de este pasaporte?

En absoluto. El problema de un chip RFID es que se puede clonar porque es «tonto» y emite siempre lo mismo. Si yo quisiera cometer un delito para el cual todo lo que necesito es un chip RFID que transmita al sistema una identidad que no es la mía, todo lo que necesito es clonar un pasaporte. No necesito leerlo, no necesito saber quién es el portador del pasaporte. Tan sólo necesito poder reemitir esa señal de forma que un sistema de detección el que sea piense que allí estuvo él/ella y no yo. Fácil, ¿verdad?

Pero si el cifrado fuera la solución, ya hace tiempo que habría dejado de serlo.

Porque estos pasaportes han sido clonados y crackeados, su información ha sido modificada.

¿Mi pasaporte es RFID?

Si tienes pasaporte español y lo renovaste después de agosto de 2006, sí.

En 2006, la UE abrió una consulta pública sobre RFID. Unos meses después se hizo público el resultado de esas encuestas: miles de respuestas y más de la mitad de los encuestados afirmaron desconfiar de la seguridad de la tecnología y exigían (ya en 2006) una regulación que detallara qué información podían incluir estos chips y cómo podía usarse.

Bien, un año y medio después, en febrero de 2008, la UE no ha regulado al respecto de la RFID más que los usos que tendrán las distintas regiones del espectro: todo lo que han hecho ha sido repartir la tarta entre militares, resto de instituciones públicas y empresas. ¿Sobre privacidad? Nada.

Y ahora la UE dice que va a buscar mayor privacidad en la RFID (Europa.eu via Ars).

Se estarán preguntando qué plan maestro ha trazado la UE para obtener seguridad y privacidad de una tecnología intrínsecamente insegura. ¿No se lo imaginan? La UE ha plantado en su página una nueva consulta en la que se nos permite opinar sobre el artículado del texto que han previsto. A mí me parece insuficiente, pues confía en el «código de conducta de la industria», que no estará obligada a nada.

Podría parecer que no han hecho nada y que no han pensado en este asunto pero es mentira: si esta encuesta les da unos resultados mejores (eso lo tienen fácil) que la de hace dos años, aunque esta mejoría sea insignificante, la táctica del inmobilismo y de dejar el vacío legal para verlas venir se estará confirmando exitosa. El desarrollo de tolerancia hacia las tecnologías de control reside en estos lapsos largos de tiempo con que se hace todo en esta materia: el tiempo ahoga las críticas y les da la razón; ellos lo saben y juegan a dilatarlo antes de tomar ninguna medida.

No dirán que no se lo hemos puesto fácil, desde este blog hemos trabajado por ellos y lanzado incluso una propuesta de ley ideal sobre RFID.

Hace tiempo que venimos diciendo que necesitamos leyes que regulen el uso de la tecnología RFID. Como no veo avances me dio por pensar qué le pediría yo a una ley sobre RFID, ponerlo por escrito y lanzarlo a la web. Es la única forma que tenemos de hacernos oir, pues allá vamos.

La ley ideal sobre RFID debería exigir como mínimo que:

• Todo chip RFID se nos fuera entregado mediante un sistema de OPT-IN. La inclusión de un chip RFID en cualquiera de los objetos que compramos debe ser opcional. Eso significa que los aceptamos si queremos, pero si los rechazamos no nos pueden obligar a aceptarlo. La opción por defecto debería ser que los objetos no incluyan estos chips, de forma que si estamos interesados en participar en los sistemas de mercadotecnia y seguimiento solicitemos su inclusión/añadido o una versión del producto que lo tenga implantado. Esto sería válido para tarjetas (crédito, abono de transporte, fidelidad) y objetos de todo tipo (nevera, sellos de correos, zapatos, revistas) excepto para documentación oficial.
• Ninguna tarjeta de identificación oficial debe incluir chips RFID. Sin opción. Los chips RFID son inseguros y violan nuestra privacidad, la inclusión de estos chips en documentos oficiales es contraproducente. Los documentos que no la incluyen, no deberán incluirla en el futuro; para excluir estos chips de los documentos que la incluyen actualmente, las reformas legales necesarias serán llevadas a cabo.
• Todo objeto que incluya un chip RFID debe estar correcta y visiblemente etiquetado indicando este hecho, que debe constar de forma clara.
• Los chips deben poder ser neutralizados, pudiendo estos ser retirados de los objetos sin repercusiones sobre la garantía de los mismos. Esto puede ser incompatible con el implante de RFID en origen (source tagging), pero es que este implante en origen está en contra del sistema OPT-IN propuesto, por lo que no debería ser un problema añadido.
• Debe protegerse y garantizarse la disponibilidad de medios y herramientas que nos permitan bloquear la emisión de estos chips a voluntad. Estos dispositivos suelen emplear el mecanismo de la jaula de Faraday para aislar un objeto con uno de estos chips: es imprescindible defender la legalidad de estos dispositivos como parte vital del sistema que debe devolver a las personas el control de su privacidad.

Es urgente sacarla de los pasaportes, y evitar que entren en otros documentos oficiales. ¿Me he dejado algo atrás?

[Actualizado con las aportaciones de Alkar]

La casa de representantes del estado de Washington (ojo, no el gobierno de estados unidos, sino el estatal) ha aprobado una ley que prohibe la lectura y captura de datos contenidos en una etiqueta RFID de un documento de identidad sin el permiso del individuo. Lo comentan en RFID Journal.

No es mala noticia, desde luego, pero tiene trucos y problemas. El primero es de definición misma de lo que la ley considera ilegal, pues introduce «el permiso del individuo». ¿Problemas? Puertas traseras que invalidarían la ley por vía contractual. Esto sucede aquí con la Ley orgánica de protección de datos, que permite que por vía contractual permitamos usos comerciales y variados de nuestros datos, algo que acaba siendo norma porque en la letra pequeña de todos los contratos te introducen estas cláusulas. Este comportamiento hace de la LOPD una ley mucho menos eficaz de lo que debería, pues tiene una puerta trasera que se abre con demasiada facilidad/frecuencia. ¿Algo que podemos aprender de esto? Dejar la regulación de nuestra privacidad en manos del mercado contratante-prestador no es la solución.

¿Más problemas? Si se trata de una tarjeta de identidad oficial (como el pasaporte electrónico o pasaporte rfid), las autoridades públicas podrían tener derecho «excepcional», «temporal», y sólo mientras dure «la lucha contra el terrorismo» para leer tu tarjeta sin tu permiso. Ya saben lo que pensamos aquí de las mentiras y la política del miedo. No nos la creemos.

Y por supuesto, hay más inconvenientes: la ley habla de «tarjetas de identidad», pero ahí fuera hay multitud de chips RFID que nos identifican unívocamente y que no son lo que oficialmente se considera una «tarjeta de identidad». Cualquier cosa que pueda ser vinculada a nuestra persona gracias a la trazabilidad del pago es, de facto, una tarjeta de identidad. Y sin embargo, la ley aprobada en el estado de Washington se desentiende de ellas.

Sin embargo, es un paso al frente en la dirección correcta. Espero que en españa podamos decir lo mismo pronto y tengamos pasos en esta dirección, aunque sean tímidos como éste.

*** En la página del senado del estado de Washington se puede ver algo de información sobre esta ley en trámite y, lo que me ha sorprendido más, te puedes suscribir a un Feed RSS para estar al día de avances que se produzcan en esta ley en concreto. Y aquí la renovada página del congreso sólo cargaba bien con Internet Explorer. Qué fuerte.